| | Belangrijke lekken in opstart-software UEFI / PXE Er zitten negen ernstige beveiligingslekken in BIOS-opvolger UEFI, en wel meer exact in EDK II – een open source-implementatie van UEFI die wordt onderhouden door TianoCore. Dat hebben onderzoekers van Quarkslab ontdekt, die het 'PixieFail' noemen. De lekken zijn te misbruiken wanneer systemen van PXE gebruik maken om vanaf het netwerk te starten. Van de kwetsbare module maken bedrijven als Arm, Insyde Software, American Megatrends, Phoenix Technologies en Microsoft gebruik. Machines die EDK II gebruiken en die opstarten vanaf een netwerk dat gebruik maakt van PXE – en bovendien zijn geconfigureerd om IPv6 te gebruiken – zijn allemaal kwetsbaar. Nou is PXE in combinatie met IPv6 niet gebruikelijk, maar even controleren kan geen kwaad. Volgens Quarkslab gaat het om een gevaarlijk lek, dat op afstand kan worden misbruikt. Een proof of concept zou er wel al zijn, een echte exploit nog niet. Patches zijn er wel, het is zaak die zo snel mogelijk te installeren. | | | | Veeam onderzoekt VMware-alternatieven Veeam doet onderzoek naar het VMware-alternatief Proxmox, mogelijk met de bedoeling een soortgelijk product te maken wat het ook voor VMware heeft. Dat schrijft The Register, dat verschillende Veeam medewerkers citeert. Gebaseerd is dit alles op een discussie in het Veeam-forum, waarin wordt gesproken over alternatieven voor VMware. En wie voor een alternatief kiest, heeft daar ook een backup-product voor nodig. Zo zegt Veeam ook Oracle Linux KVM te zullen ondersteunen bij de volgende update. Zowel Oracle Linux KVM als Proxmox vormen alternatieven voor VMware. | | | | Het kan: Windows op de nieuwe Mac Omdat het in een Microsoft ondersteuningsdocument staat, wordt het nu officieel mogelijk om Windows 11 op een M1, M2 of M3 Mac te draaien, zij het alleen in een virtual machine, die van Parallels Desktop, of Microsoft's eigen VDI - niet 'bare metal'. Voor 2020 was het geen probleem om Windows op een Mac te draaien, maar dat was nog voordat Apple besloot om van de Intel processoren af te stappen en zelf op Arm-gebaseerde processoren te gaan maken en in de Mac toe te passen. Sindsdien werd dat een stuk lastiger, ondanks de beschikbaarheid van Arm-versies van Windows en het feit dat Apple's Boot Camp nog met de M-series Macs wordt meegeleverd. Om Windows te laten werken op de desktop-hypervisor van Parallels was tot dusverre een insider-build van Windows nodig, maar dat is nu dus anders, zij het niet helemaal zonder beperkingen, maar dat ligt aan Parallels, dat heeft er mee te maken dat Parallels geen 'nested virtualization' ondersteunt. Overigens wijst Microsoft er op dat Windows op een Mac ook kan via Windows 365 / Cloud PC. | | | | Forrester: groei in IT-uitgaven in 2024 Forrester denkt dat de technologie-uitgaven in 2024 met 5,3 procent zullen groeien tot 4,7 biljoen dollar. In 2023 was dat nog 3,5 procent. Er zijn twee factoren die bij uitstek aan deze groei zullen bijdragen: uitgaven aan software en IT-diensten, met inbegrip van generatieve AI (genAI), cloud en beveiliging, en de digitale en economische groei in Azië / Oceanië. In 2027 zullen software en IT-diensten goed zijn voor 69 procent van de wereldwijde technologie-uitgaven, terwijl investeringen in genAI-software dankzij een jaarlijks samengestelde groei van 36 procent naar verwachting zullen oplopen tot 227 miljard dollar in 2030. | | | | Soort 'Airdrop' komt naar WhatsApp WABetaInfo heeft het nieuws dat er een Airdrop-achtige functie aan zit te komen in WhatsApp; een functie waarmee je redelijk snel iets kunt delen met een apparaat in de buurt. Die functie is nog in ontwikkeling, dus het is nog niet duidelijk wanneer die beschikbaar komt. Het activeren zal waarschijnlijk gaan via het schudden van het apparaat, zowel op het zendende als het ontvangende apparaat. | | | | Apple brengt iOS 17.3 uit Apple heeft iOS 17.3 en iPadOS 17.3 uitgebracht, met maar weinig nieuwe functies, al zijn er wel security updates. Bijzonder is wel 'Stolen Device Protection', een functie die moet voorkomen dat dieven jouw persoonlijke gegevens in handen krijgen. Zelfs al heeft de dief je pincode afgekeken, dan komt hij er niet in, omdat Face ID of Touch ID worden afgedwongen. De toegangscode kan ook niet binnen één uur worden gewijzigd als het apparaat ziet dat telefoon of tablet zich op een onbekende locatie bevindt. iOS 17 werkt niet op alle modellen, hier vind je een lijst. | | | | Apple wil NFC in de EU vrijgeven De Europese Commissie vraagt officieel om commentaar op het plan van Apple om de Near-Field Communication (NFC)-technologie in de iPhone, die wordt gebruikt voor contactloos betalen, open te stellen voor externe aanbieders van mobiele wallets. Alweer in 2020 werd er door de Europese Commissie een onderzoek gestart of Apple de toegang beperkte voor concurrerende wallets tot de techniek, in een poging om Apple Pay te beschermen. In 2022 keek Apple aan tegen aanklachten wegens het mogelijk schenden van de mededingingswetten van de Europese Unie. Wanneer dat zou worden bewezen, zou Apple dat heel veel geld kunnen kosten. Nu komt Apple met een soort van compromisvoorstel. Eerder betoogde het bedrijf dat het toelaten van derden tot de techniek een bedreiging voor de veiligheid zou kunnen zijn. Maar nu geeft Apple in het voorstel derden onder meer toegang tot NFC API's, zonder dat Apple Pay daarbij komt kijken. De EU accepteert dit dus niet zonder meer, maar vraagt nu betrokkenen of dit inderdaad werkbaar is. | | | | Russische hackers hadden toegang tot e-mails Microsoft Een hackersgroep met banden met de Russische inlichtingendienst heeft toegang gehad tot de e-mails van verschillende senior Microsoft-managers en andere werknemers. Dat maakte Microsoft vrijdag bekend. Microsoft heeft de aanval op 12 januari ontdekt en vastgesteld dat de hackersgroep bekend als Midnight Blizzard of Nobelium ervoor verantwoordelijk is. Dat is dezelfde groep achter de SolarWinds-cyberaanval van 2020. Via een 'password spray attack' kreeg de groep toegang tot een test-account dat niet werd gebruikt, maar het was wel in staat om middels de rechten van dat account toegang te krijgen tot 'een zeer klein percentage van de zakelijke e-mailaccounts van Microsoft'. De groep wist de hand te leggen op 'enkele e-mails en bijgevoegde documenten', aldus Microsoft in een blogpost. Het bedrijf heeft geen aanwijzingen dat toegang was verkregen tot ‘klantomgevingen, productiesystemen, broncode of AI-systemen’. | | | | Bellen in de Android-app van X De audio- en videogesprekken die X (Twitter) in oktober 2023 voor iOS-gebruikers introduceerde komen nu ook naar Android. Bellen op X past binnen de strategie om van het platform op termijn een 'everything app' te maken; een app waarmee je alles kunt. Vooralsnog kunnen echter alleen nog de Premium-gebruikers ook daadwerkelijk bellen op X. Alle gebruikers kunnen wel gebeld worden, iets wat ze overigens wel uit kunnen zetten. Ze kunnen eventueel ook aangeven door wie ze wel gebeld willen worden. | | | | HarmonyOS losgeknipt van Android / Linux Sinds augustus vorig jaar weten we dat Huawei 'HarmonyOS Next' in voorbereiding heeft, een besturingssysteem voor mobiele apparaten dat niet is gebaseerd op Linux. Vorige week kwam Huawei met de details van dit nieuwe OS. HarmonyOS Next is niet meer gebaseerd op Android of op Linux, de kernel is vanaf de grond opnieuw opgebouwd. In de trailervideo van HarmonyOS Next is een interface te zien die veel lijkt op iOS en Android. Volgens Huawei is HarmonyOS Next in het vierde kwartaal van 2024 voor consumenten een feit, en zijn er tegen die tijd miljoenen ontwikkelaars opgeleid, en duizenden native apps beschikbaar voor het besturingssysteem. Binnenkort moet er een versie voor ontwikkelaars verschijnen. Daarnaast is er een ‘open’ versie van HarmonyOS Next, waarschijnlijk in de hoop dat derden het besturingssysteem kiezen voor hun eigen apparaten. Als het Huawei lukt om een echt ecosysteem te maken rond HarmonyOS Next, dan heeft dat de potentie om uit te groeien tot een serieus alternatief voor Android / iOS. | | | | Ivanti and Juniper Networks accused of bending the rules with CVE assignments Techbedrijven worden ervan beschuldigd zich niet altijd aan de regels te houden als het gaat om het registreren van lekken bij de bevoegde autoriteiten. Met name het gedrag van Juniper Networks en Ivanti kwam deze bedrijven op kritiek te staan van beveiligingsdeskundigen. Juniper werd verweten beveiligingsfouten te hebben gerepareerd zonder deze als op zichzelf staande lekken openbaar te maken, terwijl Ivanti werd aangeklaagd voor het schijnbaar bundelen van meerdere kwetsbaarheden onder één geregistreerde Common Vulnerabilities and Exposures (CVE) ID. Het artikel gaat dieper in op de wijze van registratie. (The Register)
https://www.theregister.com/2024/01/22/ivanti_and_juniper_networks_criics_unhappy/ | | | | Zuckerberg wants to build artificial general intelligence with 350K Nvidia H100 GPUs Mark Zuckerberg wil voor het ontwikkelen van Artifical General Intelligence (AGI) tegen het einde van het jaar 350.000 of meer Nvidia H100 GPU's hebben draaien. AGI moet begrip brengen in AI, en moet dus sommige cognitieve taken beter kunnen uitvoeren dan de mens, en voor het trainen is veel rekenkracht nodig. Meta wil samen met andere soorten chips en GPU's een totale rekenkracht bereiken die gelijk is aan 600.000 H100's. (The Register) https://www.theregister.com/2024/01/20/metas_ai_plans/ | | | | Atlassian Confluence Server RCE attacks underway from 600+ IPs Volgens Shadowserver worden er vanaf meer dan 600 IP-adressen duizenden exploitpogingen gedaan tegen een kritieke bug in verouderde versies van Atlassian Confluence Data Center and Server. Dat lek werd vorige week bekend, het lek scoorde een 10 op de CVSS-schaal. Atlassian drong aan op het snel installeren van de update, maar dat nieuws heeft nog niet iedereen bereikt.
https://www.theregister.com/2024/01/22/atlassian_confluence_server_rce/ | | | | Five ripped off IT giant with $7M+ in bogus work expenses, prosecutors claim Vijf mensen worden van een vergaande zwendel beschuldigd waarbij onder meer 7 miljoen dollar aan valse werkkostendeclaraties waren ingediend bij een IT-adviesbureau voor het financieren van een buitensporig uitgaansleven. De vijf worden verdacht van een zwendel waarbij er niet gewerkt werd maar wel gedeclareerd, er vervalste urenstaten werden gemaakt, frauduleuze facturen werden geproduceerd en persoonlijke uitgaven werden opgegeven als zakelijke uitgaven. Bovendien wordt aan enkele van hen belastingontduiking ten laste gelegd, omdat ze inkomsten niet opgaven bij de belastingen. (The Register) https://www.theregister.com/2024/01/19/5_fake_expenses_claim/ | | | | Hans Reiser Sends a Letter From Prison Hans Reiser is een opmerkelijk figuur. Niet alleen schreef hij de bestandssystemen ReiserFS en Reiser4, die het tot in Linux schopten, hij vermoordde in 2006 ook zijn vrouw Nina. Voor dat laatste feit zit hij levenslang in de gevangenis, en nu zijn product op de nominatie staat om volgend jaar uit Linux te worden verwijderd, werd hem om zijn mening gevraagd. Een correspondentie vanuit de gevangenis volgde. (Slashdot)
https://news.slashdot.org/story/24/01/21/008219/hans-reiser-sends-a-letter-from-prison | | | | | | Colofon IT Infra Nieuwsbrief is een gratis uitgave voor leden van KNVI, voor de sig IT-Infra. (c) Deze nieuwsbrief is onderdeel van een individueel lidmaatschap van KNVI en uitsluitend voor persoonlijk gebruik. Verdere (gedeeltelijke) verspreiding in welke vorm dan ook is niet toegestaan zonder schriftelijke goedkeuring van de uitgever. Heb je ook nieuws, of een mening? Ron.Onrust@knvi.nl Heb je problemen met toezending, of anderszins met de techniek van de website? info@knvi.nl. Uitgever: sig IT Infra - KNVI. Redactie en samenstelling: Ron Onrust. KNVI Berencamperweg 10, 3861 MC Nijkerk Tel: 033-2473427 Mail: info@knvi.nl | | | | | |